Organizacje są coraz bardziej zależne od usług w chmurze. Większość organizacji korzysta z więcej niż jednej chmury, przy czym przeciętny respondent zazwyczaj korzysta z kilku chmur publicznych jak i prywatnych.
Oprogramowanie dostępne w chmurze, to konkretne korzyści dostępne bez zbędnych barier wejścia, stanowi model działania systemowo przygotowany do tego, aby oprogramowanie mogło być lepsze, bardziej nowoczesne i niezawodne, a także szybsze i łatwiejsze we wdrożeniu. Korzystanie z chmury niesie za sobą oczywiste korzyści, od większej dostępności, po automatyzację i synchronizację. Jednakże wiele osób uważa, że korzystanie z dostawcy pamięci masowej w chmurze, poprawi ich status w zakresie cyberbezpieczeństwa. Chociaż jest w tym trochę prawdy, nie stanowi to reguły. Ostatecznie, informacje przechowywane w chmurze nadal są przechowywane w fizycznej lokalizacji, a jeśli są dostępne dla ich właściciela, oznacza to, że mogą być również dostępne dla cyberprzestępców. Jednakże wiarygodnym argumentem stojącym za tym, że korzystanie z rozwiązanie chmurowego może odbywać się bez zwiększenia ryzyka wycieku danych, jest spełnienie wymagań międzynarodowego standardu ISO/IEC 27001. Po wdrożeniu standardu, organizacja jest poddawana audytowi, którego pozytywny przebieg zwieńczony jest uzyskaniem certyfikatu. Dzięki brytyjskiej akredytacji, certyfikaty wydane przez naszą jednostkę certyfikującą ISOQAR są wiarygodne, dają gwarancję, że organizacja postępuje zgodnie z międzynarodowymi standardami.
Aby naprawdę chronić dane przechowywane w chmurze, należy podjąć takie same środki ostrożności, jak w przypadku informacji przechowywanych w tradycyjnej formie. Oznacza to wdrożenie odpowiednich mechanizmów kontrolnych w oparciu o ramy określone w ISO/IEC 27001, międzynarodowej normie opisującej najlepsze praktyki w zakresie ISMS (systemu zarządzania bezpieczeństwem informacji).
Warto przyjrzeć się kilku sposobom, za pomocą których ISO/IEC 27001 może pomóc w ochronie informacji przechowywanych w chmurze.
Chmura, podobnie jak każda baza danych dostępna przez Internet, jest podatna na ataki złośliwego oprogramowania. Mogą one mieć różną formę, w tym oprogramowanie reklamowe, keyloggery i oprogramowanie ransomware. Jedynym sposobem na ich konsekwentne wykrywanie jest zastosowanie technologii antywirusowej, chroniącej przed złośliwym oprogramowaniem.
Załącznik A.12.2 Normy ISO/IEC 27001 dotyczy zapobiegania złośliwemu oprogramowaniu – a punktem wyjściowym jest zakup oraz regularne aktualizowanie oprogramowania antywirusowego. Obecnie na rynku jest bardzo duża różnorodność odpowiednich oprogramowań, charakteryzujących się dodatkowymi usługami mi jak np. zdolność do wykrywania oprogramowania ransomware.
Zapobieganie złośliwemu oprogramowaniu, to coś więcej niż wykrywanie zagrożeń. W załączniku A.12.2 Wymieniono dodatkowe kroki, które organizacje mogą podjąć, aby zapewnić szybkie eliminowanie luk w zabezpieczeniach oraz zapobiegać popełnianiu błędów przez pracowników, grożących przedostaniu się złośliwego oprogramowania do systemów organizacji.
Jednym ze sposobów, aby to zrobić, jest wdrożenie programu zarządzania lukami w zabezpieczeniach. Organizacje powinny również przetestować skuteczność wdrożonych metod i narzędzi, aby zagwarantować ciągłą dostępność i integralność informacji, jednocześnie minimalizując ryzyko wystąpienia wycieków danych.
Szkolenia pracowników odgrywają kluczową rolę w tych procesach. Pracownicy powinni zostać pouczeni o znaczeniu zarządzania lukami i otrzymać wytyczne dotyczące kroków, które muszą wykonać w razie wystąpienia zagrożenia dla bezpieczeństwa danych.
Konieczność regularnych szkoleń pracowników potwierdza także najczęściej stosowana metoda infekowania złośliwym oprogramowaniem. Wiadomości pfishingowe (i zawarte w nich załączniki) najczęściej stanowią wejście do systemu organizacji dla cyberprzestępców. W związku z tym, organizacje powinny przeprowadzać regularne szkolenia uświadamiające pracowników, wspierające w wykrywaniu podejrzanych wiadomości e-mail i zgłaszaniu ich w stosownych przypadkach.
Inne zabezpieczenie, która pomaga w utrzymaniu bezpieczeństwie chmury, można znaleźć w załączniku A.12.3. Punkt ten wyjaśnia, że organizacje powinny tworzyć kopie zapasowe poufnych informacji na wypadek, gdyby dane zostały naruszone.
Organizacje często błędnie zakładają, że chmura sama w sobie jest kopią zapasową, ponieważ będzie bezpieczna na wypadek, gdyby coś się stało z serwerami należącymi do organizacji. Jednak serwery w chmurze także są podatne na zagrożenia, dlatego organizacje muszą przechowywać kopie cennych informacji w wielu lokalizacjach.
Systemy tworzenia kopii zapasowych powinny być zaprojektowane zgodnie z wymaganiami każdej organizacji i poziomami ryzyka związanymi z dostępnością informacji. Organizacje powinny również regularnie testować swoje kopie zapasowe, aby upewnić się, że informacje można przywrócić w pełni i bez ich uszkodzeń.
Wzrost osób pracujących w trybie zdalnym podczas pandemii jest jednym z głównych motywatorów przechowywania pamięci masowej w chmurze. Z pracownikami rozsianymi po całym kraju – lub w niektórych przypadkach po całym świecie – organizacje potrzebują centralnej lokalizacji, która umożliwia pracownikom dostęp do niezbędnych informacji, by ich praca mogła przebiegać bez utrudnień.
Jednak praca zdalna wprowadza zagrożenia bezpieczeństwa związane z dostępem do informacji. Załącznik A.6.2.2 Normy ISO/IEC 27001 zawiera wytyczne dotyczące tych zagrożeń, koncentrując się na urządzeniach mobilnych i telepracy.
Za pomocą odpowiednich zasad, organizacje mogą ustalać reguły określające, kto może uzyskiwać dostęp, przechowywać i przetwarzać informacje w chmurze podczas pracy zdalnej. Większość organizacji powinna mieć kontrolę dostępu w swoich systemach wewnętrznych, aby zapewnić, że informacje są widoczne tylko dla niektórych członków personelu. Takie postępowanie zmniejsza ryzyko wystąpienia zagrożeń wewnętrznych i łagodzi potencjalne szkody, gdyby cyberprzestępca włamał się na konto pracownika.
W zależności od wybranego pakietu, usługi antywirusowe oraz ochronne mogą mieć wbudowane mechanizmy kontroli dostępu, które administrator może odpowiednio dostosować. Może się okazać, że w systemie są informacje, które wymagają dodatkowego szyfrowania. Wtedy możliwość dopasowania usług do potrzeb jest bardzo przydatna. Jeżeli oprogramowanie, bądź usługa stosowana przez organizacje nie pozwala na zapewnienie odpowiedniej ochrony wybranych danych, organizacja może być zobowiązana do ustanowienia dodatkowych zabezpieczeń we własnym zakresie.
Dzięki spełnieniu wymagań standardu ISO/IEC 27001, możliwe jest zachowanie pełnego bezpieczeństwa korzystania z oprogramowania w chmurze i ochrony danych, pracując zarówno z biura jak i z domu. Standard ma na celu lepsze zrozumienie ról oraz zakresów odpowiedzialności, dzięki czemu jest ograniczane ryzyko po stronie osób mających dostęp do danych, jak i pracowników wykonujących przeniesienie procesów organizacji do chmury.
Wdrożenie oraz uzyskanie certyfikatu ISO/IEC 27001 zapewnia, że przetwarzane dane osobowe są wykorzystywane tylko w celu, w którym zostały powierzone. Odpowiednio wdrożony system wykazuje wypełnienie obowiązku przetwarzania danych osobowych zgodnie z prawem (complience), bez konieczności przeprowadzania dodatkowych audytów procesorów danych, które niosą za sobą dodatkowe koszty.
Poprzez certyfikację standardu w akredytowanej jednostce certyfikującej, jaką jest ISOQAR, zarówno organizacja, jak i jej klienci uzyskują zwiększenie poczucia bezpieczeństwa, ponieważ certyfikowana firma jest regularnie audytowana, a jej system zarządzania bezpieczeństwem jest stale doskonalony.